Microsoft ha portado el servicio de monitoreo de actividad en el sistema Sysmon a la plataforma Linux. Para monitorear el funcionamiento de Linux, se utiliza el subsistema eBPF, que le permite iniciar controladores que se ejecutan en el nivel del kernel del sistema operativo. La biblioteca SysinternalsEBPF se está desarrollando por separado e incluye funciones útiles para crear controladores BPF para monitorear eventos en el sistema. El código del kit de herramientas está abierto bajo la licencia MIT y los programas BPF están bajo la licencia GPLv2. El repositorio de paquetes.microsoft.com contiene paquetes RPM y DEB listos para usar, adecuados para distribuciones populares de Linux.
Sysmon le permite mantener un registro con información detallada sobre la creación y finalización de procesos, conexiones de red y manipulaciones de archivos. El registro almacena no solo información general, sino también información útil para analizar incidentes de seguridad, como el nombre del proceso principal, hashes del contenido de los archivos ejecutables, información sobre bibliotecas dinámicas, información sobre el momento de creación/acceso/cambio/ eliminación de archivos, datos sobre el acceso directo de procesos para bloquear dispositivos. Para limitar la cantidad de datos registrados, es posible configurar filtros. El registro se puede guardar mediante Syslog estándar.
Fuente: opennet.ru